INSTITUTO FEDERAL DE ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS EVENTO SOBRE SEGURIDAD DE DATOS PERSONALES LA VISIÓN DE LA AEPD EN RELACIÓN A LAS MEDIDAS DE SEGURIDAD DE DATOS DE CARACTER PERSONAL Luis de Salvador Carrasco Jefe del Área de Inspección 5 de Diciembre de 2013 1
SEGURIDAD EN LA PERSPECTIVA DE PROTECCIÓN DE DATOS Sistema de Gestión de Seguridad de la Información Trinidad confidencialidad-integridad-disponibilidad + Objetivos de seguridad Objetivos de control Controles Continuidad de negocio Visión de la empresa PYME vs. Grandes Corporaciones Particularidad de las Medidas de Seguridad en P.D. Objetivos de Protección de Datos por Objetivos de Seguridad Calidad de Datos, Limitación del Tratamiento, Consentimiento, Deber de secreto, Proporcionalidad, Ejercicio de Derechos Consecuencias para el sujeto de los datos Explícito en la Ley Federal y el Reglamento No explícito en las RMSDP y en la Metodología BAA Hacer explícito a los Responsables de Seguridad que es un enfoque distinto 2
MEDIDAS DE SEGURIDAD VISIÓN DE LA AEPD Regulación Española de Medidas de Seguridad De forma genérica en la Ley Art. 9 Medidas de Seguridad: Regula la falta de implementación Art. 10 Deber de Secreto: Regula el resultado -> Carácter finalista de las medidas de seguridad Sanciones: 700.000-5.300.000 pesos Carácter obligatorio para sector público y privado Solapamiento con el ENS Controles específicos están establecidos por Reglamento Tabuladas por tipo de dato (sensibilidad) con excepciones No existe análisis de riesgo Rigidez de la regulación Española vs. Flexibilidad M-BAA Tres niveles 3
RESUMEN -MEDIDAS DE SEGURIDAD Nivel Seguridad GENÉRICAS Medidas de Seguridad Mismos requisitos para dispositivos portátiles y no-portátiles Mismas garantía en local y a través de redes públicas o privadas. Limitar el acceso de la plantilla a datos personales. Mismas medidas a los fichero temporales, que deben ser destruidos. BASICO MEDIO Infracciones Tributaria Entidades financieras Ficheros de solvencia Seguridad social Evaluación Datos de tráfico ALTO Sensibles excepto: Transferencias Accidentalmente Incapacidad D.P. Policiales sin consent. Violencia de género Documento de seguridad Definición de funciones del personal Registro de incidencias Control de acceso: Personal ajeno Gestión de soportes y documentos: Inventariados, limitar acceso, destrucc. Identificación y autentificación de usuarios: Clave un año Copias de respaldo y recuperación: Datos de prueba Responsable de seguridad Auditoria: Mínimo bienal Gestión de soportes y documentos: Registro de E/S Identificación y autentificación: Intentos limitados Control de acceso físico Registro de incidencias: Respecto al proc. De backup Distribución de soportes con cifrado. Registro de accesos Copias de respaldo físicamente distribuidas Cifrado de telecomunicaciones Almacenamiento en áreas protegidas Copia o reproducción bajo control de personas autorizadas Destrucción de copias Acceso restringido a personas autorizadas con registro de acceso En caso de transporte, garantizar integridad y acceso 4
CASOS DE MEDIDAS DE SEGURIDAD EN LA AEPD Procedimientos sancionadores iniciados 615 en la historia de la Agencia 12% de las infracciones graves Sancionable el mero incumplimiento Es sancionable la no existencia de medidas aun cuando no hay brecha de seguridad. Instrumentalización de las denuncias Brechas sancionadas No destrucción confidencial de soportes físicos Errores de configuración o de uso de aplicaciones Robo/Mal uso de la información por los propios usuarios Medidas de autenticación insuficientes o mal configuradas Errores en la configuración del servidor web Atacante El número de problemas de seguridad debidos a atacantes es muy bajo Modificación de la URL y otros casos Hacking ético Reflexión sobre la M-BAA: énfasis en el beneficio del atacante. El atacante está dentro 5
RESPONSABILIDAD Y SEGURIDAD JURÍDICA El dimensionamiento de las Obligaciones del Responsable Imposición de condicionantes/limitaciones al tratamiento de datos personales Caso del cifrado de las comunicaciones para datos de salud Seguridad jurídica del responsable del fichero Caso INTECO La incorporación de medidas como ponderación de la sanción Esquema de responsabilidades ante una intrusión: Anonymous Inf. Tarjeta Bancaria Titulares alto riesgos 6
CONCLUSIONES Capacidades Efectivas de la Autoridad Capacidades técnicas y autoridad -> Limitación de la inspección Comunicación a la Autoridad de las brechas de seguridad Evidencias para fundamentación de la infracción Procesos documentados Obligaciones claras de documentación Medidas de seguridad Auditoria Análisis de Riesgo "no forma parte integral del documento de RMSDP" Nuevo Reglamento Europeo Interés en la M-BAA 7